Таблица 2 - Уровни полноты безопасности: планируемые величины отказов для функции безопасности, работающей в режиме низкой интенсивности запросов
Уровень полноты безопасности |
Режим работы с низкой интенсивностью запросов (средняя вероятность отказа выполнения функции по запросу) |
4 3 2 1 |
> 10-5 - < 10-4 > 10-4 - < 10-3 > 10-3 - < 10-2 > 10-2 - <10-1 |
Примечание - Подробности интерпретации данной таблицы см. в примечаниях 3-9 ниже. |
Таблица 3 - Уровни полноты безопасности: планируемые величины отказов для функции безопасности, работающей в режиме высокой интенсивности запросов или в режиме непрерывных запросов
Уровень полноты безопасности |
Режим работы с высокой интенсивностью запросов или режим непрерывных запросов (вероятность опасных отказов в час) |
4 3 2 1 |
> 10-9 - < 10-8 > 10-8 - < 10-7 > 10-7 - < 10-6 > 10-6 - < 10-5 |
Примечание - Подробности интерпретации данной таблицы см. в примечаниях 3-9 ниже. |
3 Определения терминов режим работы с низкой интенсивностью запросов и режим работы с высокой интенсивностью запросов или режим с непрерывными запросами см. в МЭК 61508-4, пункт 3.5.12.
4 Вероятность опасных отказов в час - параметр, используемый в таблице 3 для режима работы с высокой интенсивностью отказов или для работы в режиме с непрерывными запросами, иногда фигурирует под названием частоты опасных отказов или интенсивности опасных отказов с единицей измерения - опасные отказы в час.
5 Для Е/Е/РЕ систем, связанных с безопасностью, действующих в режиме высокой интенсивности запросов или в режиме непрерывных запросов, когда работа длится определенный промежуток времени, в течение которого ремонт не может быть выполнен, требуемый уровень полноты безопасности для функции безопасности может быть получен следующим образом. Определяется требуемая вероятность отказа функции безопасности в расчете на период работы. Полученное значение делится на продолжительность периода, в результате получается требуемая вероятность отказов в расчете на час. Далее с использованием данных таблицы 3 определятся необходимый уровень полноты безопасности.
6 Настоящий стандарт устанавливает нижнюю границу планируемых величин отказов в режиме опасных отказов, которые могут объявляться для случая опасных отказов. Они определяются как нижний предел уровня полноты безопасности 4 (т. е. средняя вероятность отказов, равная 10-5 при выполнении назначенной функции по запросу, или как вероятность опасного отказа, равная 10-9 в час). Может оказаться возможным разработать системы, связанные с безопасностью, с более низкими значениями планируемых величин отказов для несложных систем, однако считается, что цифры, приведенные в таблице, представляют предел, который может быть достигнут в настоящее время для относительно сложных систем (например, для программируемых электронных систем, связанных с безопасностью).
7 Планируемые величины отказов, которые могут быть заявлены в случае использования двух и более Е/Е/РЕ систем, связанных с безопасностью, могут оказаться лучше тех, которые приведены в таблицах 2 и 3, при условии, что достигнуты адекватные уровни независимости.
8 Важно отметить, что величины отказов для уровней полноты безопасности 1, 2, 3 и 4 являются планируемыми величинами. Принято считать, что только по отношению к полноте безопасности аппаратных средств [МЭК 61508-4 (пункт 3.5.5)] возможно дать количественную оценку и использовать надежные методы предсказания при оценке того, будут ли достигнуты планируемые величины отказов. При определении того, будут ли достаточны меры предосторожности для достижения планируемых величин отказов по отношению к полноте безопасности, связанной с систематическими отказами [МЭК 61508-4 (пункт 3.5.4)], должны быть использованы качественные методы и заключения.
9 Требования к полноте безопасности для каждой функции безопасности должны указывать, что представляют собой параметры, характеризующие планируемые величины отказов:
- среднюю вероятность не выполнения назначенной функции по запросу (при работе в режиме низкой интенсивности запросов) или
- вероятность возникновения опасных отказов в час (для режима с высокой интенсивностью запросов или режима с непрерывными запросами).
7.6.2.10 Для Е/Е/РЕ системы, связанной с безопасностью, которая реализуют функции безопасности с различными уровнями полноты безопасности, те компоненты аппаратных средств и программного обеспечения, связанного с безопасностью, для которых не установлена достаточная степень независимости, должны считаться принадлежащими к функциям безопасности с наивысшим уровнем полноты безопасности, если только не будет установлена достаточная независимость реализации этих конкретных функций.
Следовательно, ко всем этим компонентам должны применяться требования, относящиеся к соответствующему наивысшему уровню полноты безопасности.
Примечание - См. также МЭК 61508-2 (пункт 7.4.2.4) и МЭК 61508-3 (пункт 7.4.2.8).
7.6.2.11 Архитектура, представленная единственной Е/Е/РЕ системой, связанной с безопасностью, имеющей уровень полноты безопасности 4, допустима только при условии выполнения требований перечисления а) либо одновременного выполнения требований перечислений b) и с):
a) была явно продемонстрирована с использованием комбинации соответствующих аналитических методов и тестирования величина отказов планируемой полноты безопасности;
b) был получен обширный опыт эксплуатации компонентов, используемых как часть Е/Е/РЕ системы, связанной с безопасностью; этот опыт должен быть получен в схожей окружающей среде и относиться к системам, имеющим, как минимум, сопоставимый уровень сложности;
c) имеется достаточный объем данных по отказам аппаратных средств, полученный для элементов, используемых в качестве компонентов Е/Е/РЕ системы, связанной с безопасностью, дающий достаточную уверенность в величине планируемых отказов для заявляемого уровня полноты безопасности аппаратуры. Данные должны соответствовать предполагаемым окружающей среде, применению и уровню сложности.
7.6.2.12 Ни одна одиночная Е/Е/РЕ система, связанная с безопасностью, не должна быть размещена по величине отказов полноты безопасности ниже, чем указано в таблицах 2 и 3. То есть, для систем, связанных с безопасностью, работающих:
- в режиме низкой интенсивности запросов в качестве нижней границы принимается средняя вероятность отказа, равная 10-5, для выполнения назначенной функции по запросу;
- в режиме высокой интенсивности запросов или в режиме непрерывных запросов в качестве нижней границы принимается вероятность опасных отказов, равная 10-9 в час.
7.6.2.13 Информация и результаты распределения требований к безопасности, полученные в подразделах 7.6.2.1 - 7.6.2.12, вместе с любыми сделанными допущениями и обоснованиями должны быть документированы.
Примечание - Для каждой Е/Е/РЕ системы, связанной с безопасностью, должен быть достаточный объем информации по функциям безопасности и связанными с ними уровнями полноты безопасности. Эта информация образует основу требований к безопасности для Е/Е/РЕ систем, связанных с безопасностью, определяемых в МЭК 61508-2.
7.7 Полное планирование эксплуатации и сопровождения
Примечания
1 Данная стадия представлена прямоугольником 6 на рисунке 2.
2 Пример модели действий при эксплуатации и сопровождении показан на рисунке 7.
3 Пример модели управления эксплуатацией и сопровождением показан на рисунке 8.
7.7.1 Цель
Целью требований настоящего подраздела является разработка плана эксплуатации и сопровождения Е/Е/РЕ систем, связанных с безопасностью, гарантирующего, что требуемая функциональная безопасность будет поддерживаться в процессе эксплуатации и сопровождения.
7.7.2 Требования
7.7.2.1 Должен быть подготовлен план, в котором необходимо указать следующее:
a) типовые действия, необходимые для поддержания требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью;
b) действия и ограничения, которые необходимы (например, при запуске, нормальной работе, стандартном тестировании, предсказуемых нарушениях, отказах и выключении) для предотвращения перехода в неустойчивое состояние, уменьшения потребности в Е/Е/РЕ системе, связанной с безопасностью, либо ослабления последствий опасных событий;
Примечание - К Е/Е/РЕ системам, связанным с безопасностью, относятся следующие ограничения:
- ограничения на работу EUC при сбое или отказе Е/Е/РЕ систем, связанных с безопасностью;
- ограничения на работу EUC в период обслуживания Е/Е/РЕ систем, связанных с безопасностью;
- когда могут быть отменены ограничения на работу EUC;
- процедуры возврата к нормальной работе;
- процедуры подтверждения того, что достигнут нормальный режим работы;
- обстоятельства, при которых функции Е/Е/РЕ систем, связанных с безопасностью, могут быть пропущены при пуске, во время выполнения специальных операций или при тестировании;
- процедуры, которым необходимо следовать до, во время и после отключения Е/Е/РЕ систем, связанных с безопасностью, включая разрешение на рабочие процедуры и уровни полномочий.
c) документацию, которую необходимо вести, и в которой отображаются результаты аудита функциональной безопасности и тестирования;
d) документацию, которая необходима для сохранения информации об опасных происшествиях и всех происшествиях, которые потенциально приводят к опасному событию;
e) совокупность действий по обслуживанию (в отличие от действий по модификации);
f) действия, которые должны быть предприняты в случае возникновения опасных событий;
g) содержание документации, в которой в хронологическом порядке регистрируются действия в период эксплуатации и обслуживания (см. 7.15).
Примечания
1 Большинство Е/Е/РЕ систем, связанных с безопасностью, имеет некоторые виды отказов, которые могут быть обнаружены только при тестировании во время стандартного обслуживания. Если тестирование не будет проводиться с достаточной частотой, требуемый уровень полноты безопасности Е/Е/РЕ систем, связанных с безопасностью, не будет достигнут. Когда тестирование выполняется в рабочем режиме, может потребоваться временное отключение Е/Е/РЕ системы, связанной с безопасностью. Это должно быть обосновано только в случае, если вероятность запросов, случающихся в это время, мала. Если в этом нет уверенности, может оказаться необходимым установить дополнительные сенсоры и исполнительные устройства для сохранения требуемой функциональной безопасности во время тестирования.
2 Данный подраздел применяется к поставщику программного обеспечения, который должен сопроводить программный продукт информацией и процедурами, которые дают возможность пользователю обеспечить необходимую функциональную безопасность во время эксплуатации и обслуживания системы, связанной с безопасностью. Подраздел включает подготовительные процедуры для любой модификации программного обеспечения, которые могут быть результатом потребностей, возникших в период эксплуатации или обслуживания [см. также МЭК 61508-3 (пункт 7.6)]. Реализация этих процедур - по МЭК 61508-3 (пункты 7.8 и 7.15). Процедуры подготовки к будущим изменениям программного обеспечения, которые являются результатом потребностей в изменении систем, связанных с безопасностью, рассматриваются в МЭК 61508-3 (пункты 7.6 и 7.16). Реализация этих процедур - по МЭК 61508-2 (пункты 7.8 и 7.16).
3 Следует учитывать процедуры по эксплуатации и обслуживанию, разработанные для того, чтобы выполнить требования МЭК 61508-2 и МЭК 61508-3.
7.7.2.2 Стандартные действия по обслуживанию, которые выполняются для обнаружения невыявленных неисправностей, должны быть выполнены на основе систематического анализа.
Примечание - Если невыявленные неисправности не обнаружены, они могут:
- в случае применения Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, или внешних средств уменьшения риска привести к отказам при работе по запросу;
- в случае применения систем, не связанных с безопасностью, привести к появлению (ложных) запросов к Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, или внешним средствам уменьшения риска.
7.7.2.3 План обслуживания Е/Е/РЕ систем, связанных с безопасностью, должен быть согласован с теми, кто несет ответственность за будущую эксплуатацию и обслуживание Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, внешних средств уменьшения риска, а также систем, не связанных с безопасностью, которые могут приводить к появлению запросов к системам, связанным с безопасностью.
7.8 Планирование полного подтверждения соответствия безопасности
Примечание - Эта стадия представлена на рисунке 2 прямоугольником 7.
7.8.1 Цель
Целью требований настоящего подраздела является разработка плана, облегчающего полное подтверждение соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью.
7.8.2 Требования
7.8.2.1 Должен быть разработан план, включающий в себя следующее:
a) подробное описание того, когда должно происходить подтверждение соответствия;
b) подробности о лицах, которые должны осуществлять подтверждение соответствия;
c) спецификацию существенных режимов работы EUC с указанием их отношения к Е/Е/РЕ системе, связанной с безопасностью, включая, где это необходимо:
- подготовку к использованию, включая установку и регулировку;
- запуск;
- обучение;